NRI Secure SANS NewsBites 日本版

Vol.13 No.13 2018年6月12日発行

************************************************************************
        NRI Secure SANS NewsBites 日本版
                  Vol.13 No.13 2018年6月12日発行
************************************************************************

┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 ま┃も┃な┃く┃開┃催┃で┃す┃2018年 6月開催 SANSトレーニング
 ━┛━┛━┛━┛━┛━┛━┛━┛
【SANS Cyber Defence Japan 2018】6月開催 全7コース実施
https://sans-japan.jp/cyber_defence_japan2018/index.html

開催日:6/18(月)~23(土)
●SEC660:Advanced Penetration Testing, Exploit Writing, and Ethical Hacking ●FOR572:Advanced Network Forensics:Threat Hunting, Analysis, and Incident Response

開催日:6/18(月)~22(金)
●FOR578:Cyber Threat Intelligence

開催日:6/25(月)~30(土)
●SEC401:Security Essentials Bootcamp Style
●SEC504:Hacker Tools, Techniques, Exploits, and Incident Handling
●SEC501:Advanced Security Essentials - Enterprise Defender
●SEC560:Network Penetration Testing and Ethical Hacking

開催日:6/28(木)~29(金)
●Cyber Defense NetWars Tournament
※2018年6月18日~30日のSANSトレーニング受講者のみ無料でご招待いたします。
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛

──────────────────────────
■■SANS NewsBites Vol.21 No.044-045
(原版: 2018年 6 月 5 日、8 日)
──────────────────────────

◆ FireEye社によるレポート:各州の選挙システムは危険にさらされている(2018.5.31 & 2018.6.1)
「Attacking the Ballot Box(投票箱への攻撃)」と題された FireEye社のレポートによると、「各州や地域の選挙システムインフラはこれまで以上に、多様な脅威アクター、特に国家の支援を受けたサイバースパイ活動家による、サイバー攻撃の危険にさらされている。レポートでは、有権者登録システム、各州の選挙関連ウェブサイト、投票機、および選挙管理システムへの脅威について考察している。

- http://www.scmagazine.com/state-elections-systems-still-hackable-report/article/770533/
- http://www.bloomberg.com/news/articles/2018-05-31/cyber-threats-to-state-election-systems-rising-fireeye-says
- http://media.scmagazine.com/documents/343/election_systems_report_85540.pdf
────────────────

◆ ニューヨーク州と DHSが選挙の完全性を守るため、サイバーセキュリティ
 演習を開催 (2018.5.31)
ニューヨーク州選挙管理委員会と米国土安全保障省(DHS) は、州内における選挙の完全性確保を支援する目的で、各地域で演習を開催する。「机上の演習において、サイバーインシデントへの対応計画、準備の程度、そして有権者の信任を揺らがせたり、投票処理プロセスを妨害したり、選挙の完全性に影響を及ぼしたりする攻撃を含んだ、現実的に起こり得るシナリオに基づいたシミュレーションを通じて、実際の攻撃に対する対応について改善の必要がある分野を特定する。」今後 3週間に亘り、ニューヨーク州の各地において6つの演習が開催されるという。

- http://www.scmagazine.com/ny-state-dhs-to-practice-to-protect-election-process/article/769936/
- http://www.governor.ny.gov/news/governor-cuomo-and-state-board-elections-announce-regional-exercises-strengthen-cybersecurity

【編集者メモ】(Pescatore)
各地域が管理をするという米国における選挙の特徴は、つまりセキュリティ分野の改善も地域が主導で進める必要があることを意味している。しかし DHSと選挙システムインフラのISACには、記事のような演習から得た教訓や効果的な対策を広める上で、重要な役割を担うことが期待されるのだ。
────────────────

◆ NIST が軽量暗号アルゴリズムプロジェクトへのコメントを募集 (2018.6.4)
NISTは「現在のNISTによる暗号化標準を利用できない、制約環境に適した軽量暗号アルゴリズムを発案、評価、そして標準化する」構想を立ち上げた。草案「軽量暗号標準化プロセスにおける提出要件と評価基準」へのコメントは、2018年 6月28日まで受け付けている。

- http://csrc.nist.gov/Projects/Lightweight-Cryptography
- http://csrc.nist.gov/CSRC/media/Projects/Lightweight-Cryptography/documents/Draft-LWC-Submission-Requirements-April2018.pdf
- http://federalnewsradio.com/federal-drive/2018/06/nist-launches-program-for-lightweight-encryption-algorithms-for-better-security/

【編集者メモ】(Pescatore)
ウェブブラウザやサーバが使われ始めた頃、SSL の利用を装った、粗悪な「暗号」を実装したソフトウェアが数多く存在していた。NISTは1994年に、良質な暗号の生成方法を標準化した FIPS140-1を定め、これにより安全な通信の基準が大きく引き上げられた。IoT の普及は、粗悪な暗号の時代を繰り返そうとしている。NISTが記事のようなプロジェクトを進めていることを評価したい。
【編集者メモ】(Murray)
多くのアプリケーションや環境において、暗号アルゴリズム、つまり私たちが使用する「コードと暗号」は、私たちが必要としているレベルよりも強固なものだ。そうした暗号アルゴリズムは計算量が増大している一方、計算にかかるコストは下がり続けている。私たちが抱えている問題はアルゴリズムよりも、使用するアルゴリズムの選択、その適用、実装、運用にある。そのため、IoT に関して私たちが本当に必要としているものは、新しいアルゴリズムではなく、有効利用が容易で、間違いが起きにくい実装方法だ。暗号化を全て利用している IoT開発者はごくわずかであり、ほとんどの開発者は最初から暗号化の実装を考えていないという事実に、注目してほしい。
【編集者メモ】(Neely)
プロジェクトに期待されることは、制約のある環境におけるアルゴリズムの適切な実装の必要性が浮き彫りとなった、昨秋発生した Infineon 社製セキュリティチップのライブラリに見つかった問題の再発防止だ。このような制約のある環境をもつシステムにおいては、IoT 機器のように既にリソースが制約された環境に導入された、ソフトウェアへの実装を試みるのではなく、ハードウェアへの暗号化実装を検討するべきだ。

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃OUCH! 6月号「マルウェアの侵入を阻止する」について
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
ユーザの意図しない悪意ある操作をおこなうソフトウエア全般をマルウェアと呼
んでいます。一昔前はコンピュータウイルスと呼ばれていたこともありましたが
、何が違うのでしょうか。そして効果的な対策にはどのようなものがあるのでし
ょうか。今月は、マルウェアの侵入を阻止するための方法について、用語の定義
といった基本を紹介すると共に、基本的な対策なども一般ユーザ向けに分かりや
すく解説します。社員の意識向上ツールとしてお使いください。
https://www.sans.org/sites/default/files/2018-06/201806-OUCH-June-Japanese.pdf
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

◆ マルウェア VPNFilterが、当初考えられていたよりも強力であることが判明
 (2018.6.6 & 2018.6.7)
マルウェア VPNFilterは、当初考えられていたよりも広範な種類の機器を感染させる力をもっている。さらにこのマルウェアは、当初の想定よりも強力であることが判明した。新たに検知したモジュールは、ウェブ上の受信トラフィックにおいて、中間者攻撃を仕掛ける。現在感染している機器の大半はウクライナにある。

- http://blog.talosintelligence.com/2018/06/vpnfilter-update.html
- http://arstechnica.com/information-technology/2018/06/vpnfilter-malware-infecting-50000-devices-is-worse-than-we-thought/
- http://threatpost.com/vpnfilter-malware-impact-larger-than-previously-thought/132582/
- http://www.darkreading.com/attacks-breaches/vpnfilter-poses-broader-threat-than-first-thought-endpoints-at-risk-too/d/d-id/1331982
- http://www.cyberscoop.com/russian-linked-vpnfilter-malware-even-worse-originally-thought-new-research-suggests/?category_news=technology

【編集者メモ】(Neely)
効果的な防御策の一つは、現在使用している機器のリモート管理機能が、無効化されていることを確認することだ。もしくはリモート管理が有効な場合に、厳密なアクセス管理とログの監視を実施することだ。適切なファームウェアアップデートの確認や適用により、先を見た行動を心掛けるべきだ。
────────────────

◆ 11万5千以上のサイトにおいて、Drupalの脆弱性に対する修正パッチが未適用 (2018.6.5 & 2018.6.6)
脆弱性 Drupalgeddon 2に対する修正パッチ公開から 2か月以上が経つが、11万5千以上のサイトにおいていまだにパッチが適用されていない。報道によるといくつかのサイトは既に攻撃を受けており、仮想通貨の不正なマイニングに悪用されているようだ。

- http://arstechnica.com/information-technology/2018/06/three-months-later-a-mass-exploit-of-powerful-web-servers-continues/
- http://www.zdnet.com/article/thousands-of-drupal-sites-still-vulnerable-to-critical-flaw/
- http://www.bleepingcomputer.com/news/security/two-months-later-over-115-000-drupal-sites-still-vulnerable-to-drupalgeddon-2/
────────────────

◆ ハーバード大学、Facebook社、RiotGames社、NetFlix社、Lyft社がAmazonクラウドサービスにおける最も危険な間違いと、間違いを修正するためのアプローチを共有 (2018.6.8)
 ※発表された内容について学びたい方は、今すぐ登録を※
ワシントン D.C.で開催されたワークショップにおいて、Facebook 社のセキュリティ管理者は、Amazon Web Services で最も多くのセキュリティ上の問題を発生させた、10件の間違いを指摘した。また他の4者は、AWSにおけるセキュリティ改善に関するケーススタディを共有し、参加者に向け、重要な機能を自動化する方法を発表した。例えば、NetFlix 社のセキュリティチームが、AWS 開発者が開発サイクルの99% に力を注げるようにしつつ、アプリケーションを安全に公開する手助けとなるガードレールを設け、同時にそうした作業を「全て自動化する」方法を発表した。
他にも多くの内容が話題として取り上げられた。RiotGames社 (League of Nationsなどを開発) は、過去の失敗と、失敗により発生した問題をいかにして解決したかを発表した。また各発表者が所属する組織が使用しており、スケーリングが容易になる重要な機能を自動化できるよう、開発者コミュニティ向けにオープンソース化した、10あるとても便利なツールやいくつかのプロセスが紹介された。参加した観衆は、とても価値のあるツールやより効率的なアプローチを知ることができ、さらに実際、問題に遭遇した時に知らなければ、致命的な事故を起こしていたであろう教訓を学ぶことができたと、感想を述べた。

本日中もしくは週末にかけて登録をすれば、プレゼンテーションを視聴できる。また、ワークショップは月曜日にもテキサス州オースティンで開催されるほか、オンラインでのライブ配信も同じく月曜日に予定しています。
400USドル分の割引コードはこちら。:CLOUD500

オースティンの会場で参加する場合(残り39名):
http://www.sans.org/event/cloud-insecurity-summit-tx
オンラインで参加する場合(残り48名):
http://www.sans.org/event/cloud-insecurity-summit-tx/attend-remotely/

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー・イベント        <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○6月20日(水)、7月25日(水)、8月10日(金)、9月19日(水)
 分離・無害化技術によりマルウェアを100%防御する方法
 ~危険なWebサイトを自由に閲覧できるソリューションとは~
https://www.nri-secure.co.jp/seminar/2018/isolation02.html?xmid=300&xlinkid=01

〇6月21日(木)
 契約書管理ソリューションセミナー
 ~企業における重要文書を"がっちり守り"ながら"使い易く"~
https://www.nri-secure.co.jp/seminar/2018/contract01.html?xmid=300&xlinkid=02

〇6月22日(金)
 攻めのIoT化を加速するためのセキュリティ
 ~産業用制御システムをサイバーセキュリティの脅威から守れ!~
https://www.nri-secure.co.jp/seminar/2018/iot01.html?xmid=300&xlinkid=03

〇6月22日(金)
 コンシューマ向けWebサービスにおける認証セキュリティ
 ~シングルサインオンの実装と不正アクセス防止策~
https://www.nri-secure.co.jp/seminar/2018/ciam04.html?xmid=300&xlinkid=04

〇6月25日(月)
 ドメインコンテンツ更新後初! CISSPチャレンジセミナー
 ~CISSPならこう考える!CISOに必要な情報セキュリティの知識と考え方~
https://www.nri-secure.co.jp/seminar/2018/cissp01.html?xmid=300&xlinkid=05

○7月12日(木)
 事例から学ぶ特権ID・監査ログ管理実践セミナー
 ~クラウド時代に求められるアクセス管理を短期間・低コストで実現する方法とは~
http://www.nri-secure.co.jp/seminar/2018/ac04.html?xmid=300&xlinkid=06

〇2018年7月19日(木)、9月20日(木)
 ファイル交換・転送サービスの正しい選び方
 ~クラウドで業務効率・利便性とセキュリティを両立させるには~
https://www.nri-secure.co.jp/seminar/2018/file02.html?xmid=300&xlinkid=07

〇7月30日(月)
 PCI DSS 実践ソリューションセミナー
https://www.nri-secure.co.jp/seminar/2018/pcidss02.html?xmid=300&xlinkid=08

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の有料研修               <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○6月
 SANS Cyber Defence Japan 2018
https://sans-japan.jp/cyber_defence_japan2018/index.html?xmid=300&xlinkid=11

〇9月
 SANS Tokyo Autumn 2018
https://sans-japan.jp/sans_tokyo_autumn2018/index.html?xmid=300&xlinkid=12

○7月、8月、10月、11月、2019年1月、3月
 CISSP CBKトレーニング
https://www.nri-secure.co.jp/service/learning/cissp_training.html?xmid=300&xlinkid=13

○10月、2019年3月
 セキュアEggs
 (IT+セキュリティ基礎/インシデント対応/フォレンジック/WEBアプリセキュリティ)
https://www.nri-secure.co.jp/service/learning/secureeggs.html?xmid=300&xlinkid=14

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃コラム(NRIセキュア in-depth / Secure SketCH Blog)<NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
<NRIセキュア in-depth>
〇パスワードの限界とこれからのユーザー認証(後編)
https://www.nri-secure.co.jp/in-depth/2018/0605.html?xmid=300&xlinkid=16

<Secure SketCH Blog>
○企業がグローバルCSIRTを成功させるための秘訣
https://www.secure-sketch.com/blog/key-points-for-constructing-global-csirt?xmid=300&xlinkid=17

○【5分で解説】いよいよ施行開始、「GDPR」で日本企業が対応すべきポイント
https://www.secure-sketch.com/blog/gdpr-5minutes-explanation?xmid=300&xlinkid=18

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃お知らせ                     <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○「ブロックチェーン診断」サービスに、システム全体のセキュリティ対策を
 評価する「アーキテクチャ評価」サービスを追加
https://www.nri-secure.co.jp/service/assessment/blockchain.html?xmid=300&xlinkid=19

○AWSに対応していたWAF管理サービスがMicrosoft Azureにも対応
https://www.nri-secure.co.jp/news/2018/0605.html?xmid=300&xlinkid=20

--

NRI Secure SANS NewsBites 日本版は、米国の情報セキュリティの専門機関であるSANS Instituteが配信するコンテンツ (SANS NewsBites)をベースに、NRIセキュアテクノロジーズが編集してお届けしています。 世界中でこの1週間に起こったセキ
ュリティのあらゆるトピックと専門家のコメントが掲載されています。原版は、およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュースソースとして活用されています。組織のセキュリティ管理に関する参考情報としてお役立てください。掲載されている情報は、e-mailを介して自由に他の方に再送していただいて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望される方は、弊社ホームページの以下のページよりお申込みください。
http://www.nri-secure.co.jp/news_letter/

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報を希望された方、SANS関連のイベントに参加された方、その他イベント等において弊社講演枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に【配信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、新旧のご連絡先も記載のうえ、info@sans-japan.jpまでご返信をお願い致します。なお、情報の反映までにお時間を頂戴する場合がございます。